tin tức bảo mật về một vụ xâm nhập mạng quy mô lớn cho thấy tác nhân đã kết hợp SMS phishing, chiếm đoạt tài khoản doanh nghiệp và SIM swapping để đánh cắp ít nhất 1 triệu USD tài sản số từ nạn nhân tại Hoa Kỳ.
Vụ việc liên quan đến SMS phishing và chiếm đoạt danh tính
Tyler Robert Buchanan, người Dundee, Scotland, đã nhận tội âm mưu thực hiện wire fraud và aggravated identity theft theo hồ sơ tố tụng liên bang. Theo cáo buộc, nhóm này hoạt động trong giai đoạn từ tháng 9 đến tháng 4, nhắm vào ít nhất 12 công ty cùng nhiều cá nhân.
Để theo dõi hồ sơ công khai liên quan đến một số vụ việc tương tự, có thể tham khảo NVD – National Vulnerability Database khi cần đối chiếu thông tin kỹ thuật và tài liệu tham chiếu.
Chuỗi tấn công mạng: smishing, giả mạo đăng nhập và thu thập thông tin
Nhóm tấn công đã triển khai chiến dịch SMS phishing quy mô lớn, còn gọi là smishing attacks. Hàng trăm tin nhắn được gửi đến nhân viên của các công ty mục tiêu, với nội dung giả mạo đến từ chính doanh nghiệp hoặc từ các nhà cung cấp IT và dịch vụ xử lý nghiệp vụ đáng tin cậy.
Các tin nhắn chứa liên kết dẫn tới trang đăng nhập giả mạo được thiết kế giống website doanh nghiệp thật. Khi nạn nhân nhập tên đăng nhập, mật khẩu và thông tin cá nhân, dữ liệu bị thu thập bởi phishing kit do kẻ tấn công kiểm soát.
Dữ liệu bị đánh cắp
Thông tin bị chiếm đoạt sau đó được chuyển đến một kênh Telegram do Buchanan và một đồng phạm quản trị. Từ đây, nhóm sử dụng các tài khoản đã lộ để truy cập vào hệ thống doanh nghiệp và tài khoản nhân viên.
- Thông tin xác thực của nhân viên
- File kinh doanh mật và tài sản sở hữu trí tuệ
- Tên, email, số điện thoại
- Dữ liệu truy cập tài khoản
Nhà điều tra cũng phát hiện các tệp liên quan đến nhiều công ty nạn nhân tại nơi ở của Buchanan ở Scotland. Một thiết bị tại đây còn lưu giữ tên, địa chỉ, seed phrase tiền mã hóa và thông tin đăng nhập của ít nhất một tài khoản nạn nhân.
SIM swapping và vượt qua xác thực hai yếu tố
Để né các lớp bảo vệ, nhóm đã sử dụng SIM swapping. Trong kỹ thuật này, kẻ gian lừa hoặc thao túng nhà mạng di động để chuyển số điện thoại của nạn nhân sang thẻ SIM do chúng kiểm soát.
Khi số điện thoại đã được chuyển, attacker có thể chặn one-time passcodes và tin nhắn SMS-based two-factor authentication, từ đó truy cập vào các tài khoản được bảo vệ.
Mẫu tấn công này cho thấy mối đe dọa mạng không chỉ dừng ở việc lừa lấy mật khẩu mà còn mở rộng sang việc chiếm quyền các kênh xác thực phụ thuộc vào số điện thoại.
Ảnh hưởng hệ thống và rủi ro an toàn thông tin
Hệ quả của chuỗi xâm nhập là xâm nhập trái phép vào tài khoản doanh nghiệp, rò rỉ dữ liệu nhạy cảm và chiếm đoạt tài sản số từ các ví tiền mã hóa. Theo hồ sơ vụ án, tổng giá trị tài sản ảo bị đánh cắp đạt ít nhất 1 triệu USD.
Vụ việc là một ví dụ điển hình về rủi ro an toàn thông tin khi thông tin xác thực bị thu thập qua smishing, sau đó bị khai thác bằng SIM swapping để vượt qua xác thực đa yếu tố dựa trên SMS.
Diễn biến điều tra và tình trạng pháp lý
Buchanan đang bị giam giữ ở cấp liên bang từ tháng 4. Việc tuyên án được ấn định vào tháng 8 trước thẩm phán John W. Holcomb. Ông ta đối mặt với mức án tối đa nhiều năm tù liên bang.
Một đồng phạm khác, Noah Michael Urban ở Florida, trước đó đã nhận mức án 1 năm tù liên bang và phải bồi thường. Ba bị cáo khác vẫn đang đối mặt với cáo buộc.
IOC và dấu hiệu liên quan
Trong nội dung được công bố không có IOC kỹ thuật dạng hash, IP, domain hay file hash cụ thể. Các dấu hiệu liên quan có thể trích xuất như sau:
- Smishing qua SMS giả mạo doanh nghiệp
- Trang đăng nhập giả để thu thập username, password
- Telegram channel dùng để nhận dữ liệu bị đánh cắp
- SIM swapping để chiếm quyền số điện thoại
- Seed phrase và thông tin đăng nhập ví tiền mã hóa
Điểm kỹ thuật cần chú ý trong tin tức bảo mật này
Chuỗi tấn công cho thấy các lớp phòng vệ dựa trên SMS có thể trở thành điểm yếu khi kẻ tấn công đã có được credentials hoặc kiểm soát được số điện thoại qua SIM swapping. Trong bối cảnh này, việc giám sát truy cập bất thường, kiểm tra luồng xác thực và theo dõi hành vi tài khoản là cần thiết để giảm nguy cơ bảo mật.
Với các tổ chức, tin tức bảo mật dạng này nhấn mạnh rằng một cuộc tấn công mạng có thể bắt đầu từ smishing nhưng kết thúc bằng chiếm quyền điều khiển tài khoản, rò rỉ dữ liệu và tổn thất tài sản số.
